• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Eliminar Ransomware .Block

    Guía de cómo eliminar el Ransomware .Block La nueva variante del popular "Virus de la Policía" a la cual por sus características desde @InfoSpyware vamos a llamar Ransom.Block , aparte de bloquear como el resto ...

          
    1. #1
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.918

      Investigación Eliminar Ransomware .Block

      Guía de cómo eliminar el Ransomware .Block




      La nueva variante del popular "Virus de la Policía" a la cual por sus características desde @InfoSpyware vamos a llamar Ransom.Block, aparte de bloquear como el resto de los ransomwares lo hace nuestro ordenador, se encarga de también de encriptar (cifrar/bloquear) [B]todos los archivos, con el algoritmo AES-256 (Advanced Encryption Standard) renombrándolos con la extensión .block

      Ransom.Block encripta los siguientes tipos de archivo:
      .txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx, .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo, .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr, .frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx, .dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf, .xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl

      Una vez cifrados nuestros archivos con AES-256 se generara numero llave y un validador únicos para cada caso el cual Ransom.Block guarda como: "Initia1Log.txt.block" (archivo clave) y "ok.txt.block" (archivo validador) sin los cuales es directamente imposible de desbloquear los archivos cifrados por el malware.

      Antes de poder desbloquear sus archivos, tiene que poder tener total acceso nuevamente a su equipo una vez que sea desinfectado del Ransomware, por lo que para ello es necesario utilizar algún AV Live CD o nuestra herramienta especializada llamada PoliFix siguiendo los pasos de la:


    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.918

      Re: Eliminar Ransomware .Block

      Guía de cómo desencriptar los archivos .block


      Gracias al trabajo de @thyrex (Mod de Kaspersky) quien desarrollo una pequeña utilidad especifica llamada "DeBlock", ahora es posible volver a recuperar los archivos afectados siguiendo estos pasos:




      1.- Descargue la herramienta "DeBlock" (al final del post)


      2.- Compruebe buscando en su equipo si aún cuenta los archivos llave y validador únicos llamados Initia1Log.txt.block y ok.txt.block
      • Advertencia: no intente utilizar los archivos llave para otro usuario. La clave cifrada es individual para cada usuario.


      3.- DeBlock buscara los archivos, en caso de encontrarlos y si estos son correctos los dará como clave válida, de lo contrario aparecerá mensaje de error.


      4.- Si la verificación tiene éxito, podrá ver las opciones de la herramienta DeBlock en donde se podrán seleccionar de a una carpeta o todo el disco duro. (Se recomienda comenzar con una prueba con solo algunos archivos cifrados para comprobar que trabaje correctamente en su caso)


      5.- Una vez las carpetas estén elegidas, veremos activado el botón Decrypt.


      6.- Antes de descifrar los archivos es posible activar otras funciones como:

      • - delete crypted files: Borrara los archivos cifrados una vez que ya haya generado las copias descifradas (se recomienda activar solo después de que las pruebas salgan correctamente)

      • - delete register record: Elimina los rastros dejados por el encriptador en el registro de Windows.

      • - delete WARNING.txt: Elimina todos los archivos de advertencia generados por Ransom.Block



      7.- Pulsar el botón Decrypt y esperar que termine el procedimiento.

      Todo informe del programa se puede ver en la parte inferior de una ventana: número de archivos que se encuentran, cuántos archivos se descifraron y etc También genera un informe en un archivo de texto en C:\deblock-fecha-hora.txt





      **NOTA** Si lamentablemente su PC fue víctima de este Ransomware .Block y no cuenta en su equipo con los archivos "Initia1Log.txt.block" y "ok.txt.block" lamentablemente será imposible descifrar (desencriptar/desbloquear) sus ficheros y la única esperanza que le queda en poder recuperarlos es utilizar el "Restaurar Sistema"




      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, recuerde que puede abrir un nuevo tema el sector de "Virus y Spywares" del foro.




      Archivos Adjuntos Archivos Adjuntos
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.